- 博客(55)
- 收藏
- 关注
RSS订阅原创 应急响应web2
前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现全设备有告警,于是立刻停掉了机器开始排查。在文档内发现Tencent Files文件夹,里面有使用工具,QQ号应该就是它了。结合这两个文件就可以发现其中的一个攻击者的ip是192.168.126.135。system.php,经查证,为webshell文件,在文件管理中找到。FileRecv文件夹内为接收的文件,frp(内网穿透工具)查找隐藏的用户的时候,在设置里面是看不到了。3.攻击者的webshell密码?
2024-03-19 21:06:59
127
原创 应急响应web1
应急响应的过程目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案。保护阶段:直接断网,保护现场,看是否能够恢复数据;分析阶段:对入侵过程进行分析,常见的方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等;复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法;修复阶段:分析原因之后,修补相关系统、应用漏洞,如果存在后门或者弱口令,即使清楚并整改;建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提高安全意识;1.攻击者的shell密码。
2024-03-18 16:55:58
234
原创 [湖湘杯 2021 final]Penetratable
p:打印,如果同时指定行,表示打印指定行;如果不指定行,则表示打印所有内容,如果又非打印字符,则以ASCLL码输出。username是base64编码,password也是md5加密的,say也是被base64编码过。想到该开始的root,看看能不能改一下,但是name那里不可以改,这里应该是行不通了。-e或-expression=:表示用指定命令或者脚本来处理输入的文本文件。-f或-file-:表示用指定的脚本文件来处理输入的文件文件。再根据之前的name和pass的加密方式,来修改root密码。
2023-12-22 19:40:35
79
原创 ISCTF(b)
小白说:zo23n里面的z就是zero,o就是one,n就是nine。最后用脚本将01239换成白色,45678为黑色,就是一个二维码。数字0、1、2、3、9对应白色像素块,数字4,5,6,7,8对应黑色像素,0900是全局方式位标记,2bytes,压缩软件识别未加密标志。1400代表解压文件所需pkware的版本,2bytes。504B0102是目录中文件文件头标记,4bytes。504B0304是zip文件的文件头,4bytes。,找到加密文件的全局标志位,将两个。文件需要密码打开,。
2023-12-19 20:20:29
196
原创 ISCTF(CRYPTO)
函数用于对消息进行填充,使其长度为 AES 加密算法的块大小(16字节)。用于创建一个 AES 加密对象,传入的参数包括 key、加密模式和初始化向量(IV)。)来检查flag的长度是否为39,key的长度是否为16。函数将key和消息的前16字节转换为长整型数据,并将其进行异或运算,得到密码提示。进行加密,使用 key 和随机生成的 IV,得到加密结果。嘤嘤嘤替换为-,嘤嘤?将填充值转换为字节,并将填充值添加到消息之前。首先,对flag进行填充,得到填充后的消息。方法对消息进行加密,并返回加密后的结果。
2023-12-15 19:35:13
130
原创 ISCTF(a)
的字符,即返回 false,传入的字符串内必须含有一个数字,可以使用数组绕过,给转换为数字,但如果字符中没有找到数字,那么就被视为不可转换。直接admin/we1come7o1sctf登录。,如果不包含,则输出相应提示,如果包含则输出。结果为:we1come7o1sctf。刚开始以为这个就是结果...第一层if可以使用数组进行绕过。这里使用回溯绕过跳过正则的限制。函数处理非空数组时会返回整数。那么就会与正则函数相冲突。答案应该被分成了三份了。第二层intval()后面就用脚本了...
2023-12-14 16:56:41
134
原创 0X06
3.最后是读取 flag 的时候回显的长度有限制,substr、reverse、right 什么的也被过滤,最后用的是 mid!wllm=1'/**/group/**/by/**/4%23 //4报错了, 判断得回显列数为3。wllm=1' group by 3%23 //这里会提示我们进行了非法操作,应该是过滤了空格。a,b1,b2都可以用数组绕过,因为a是正则绕过,b是MD5绕过。1.注意到空格被过滤了,这个可以用 /**/ 绕过。这里是过滤了空格,我们用/**/来绕过。最后组合起来就可以了。
2023-12-09 21:51:22
90
原创 0X05
9j/开头,猜测是base64转的图片,利用网页工具解码。在出现admin.php后就截止了,访问看看,进入后台。点击完登录和注册都没有什么反应,所以先扫一下看看。发现bbbbb.txt特别大,下载后发现是很多码。根据经验是base64编码转图片,并且头部缺少内容。找到一个导出的点,下载了一个1.zip压缩包。可以下载flag.zip了,改txt即可打卡。扫到index.php 相关文件,访问看看。要获取 flag 就/flag即可。[羊城杯 2020]easycon。导出的文件中没有什么发现。
2023-12-06 21:50:01
170
2
原创 渗透复现
在添加配置里面输入相应的内容,flag1就会出现了,在dede库的dede_admin表中有flag1。就先看177的,回到页面,看到底部有一个关键的信息,搜一下看看,加上dede就会发现后台管理页面。发现了一些文件,但是和windows上扫出来的结果有点不一样,有个l.php漏了。会员中心--内容中心--个人空间--文章发表下,发现了文件上传漏洞。134出现异常,做的时候以为是一个错的后面就没有想利用了。在核心的文件式管理器上也发现了,试了一下居然可以成功。做题的时候sha了 ,没有发现这个答案....
2023-12-04 17:09:35
1851
原创 0X04
htaccess可以帮我们实现包括:文件夹密码保护、用户自动重定向、自定义错误页面、改变你的文件扩展名、封禁特定IP地址的用户、只允许特定IP地址的用户、禁止目录列表,以及使用其他文件作为index文件等一些功能。.phml与.php并没有太大的区别,所以我们尝试上传.phtml文件,php不行就看看phtml。打开后啥都没有,全选后发现每一行有空格,数了一行发现空格数量转ascil码后是f,猜测都如此,这个是要注意缩进的,for前面是要一个空格,后面的需要三个空格。[MRCTF2020]你传你🐎呢。
2023-12-01 21:54:54
192
原创 [安洵杯 2019]easy_web
再看看地址栏出现index.php,应该是要下载源码,但是还没有具体的思路,看看提示。试了一下数组发现不行,因为这里使用了String强转换,数组都被强制转换。看到了三个等号,强比较,MD5绕过,过滤了cat,应该是进行命令执行。将index.php按照刚刚的思路进行一遍,得到。尝试base解码,但是没有什么发现。img应该是base,先解码看看。\t会被当成tab而跳过过滤,访问一下看看,得到一张图片。这个好像是十六进制的,再解。img传参还有cmd。cmd传参处传入dir。
2023-11-30 20:56:20
283
原创 [网鼎杯 2020 朱雀组]Nmap
2.利用-iL 和-oN。如果使用-iL-,nmap就会从标准输入stdin读取主机名字。经过escapeshellcmd处理后变成’172.17.0.2’\’’ -v -d a=1’,这是因为escapeshellcmd对\以及最后那个不配对儿的引号进行了转义。经过escapeshellarg处理后变成了’172.17.0.2’’’ -v -d a=1’,即先对单引号转义,再用单引号将左右两部分括起来从而起到连接的作用。发现与刚刚的页面不一样,说明是可以进行命令执行的,但是|被\转义了,尝试;
2023-11-25 20:14:12
562
原创 [网鼎杯 2020 朱雀组]phpweb
发现类Test中的成员函数__destruct()函数执行了gettime()函数,而该函数则调用了关键函数call_user_func(),再看看黑名单中没有过滤unserialize()函数,此时想到可以尝试反序列化。抓包发现post传了两个数据,分别是date和输出日期的格式,func为函数名称,p为函数的参数,这两个值传到后端就会执行相应的函数。具体的函数有,file_get_contents(),highlight_file(),show_source()等。应该是有黑名单进行了过滤,
2023-11-24 22:47:04
630
原创 [网鼎杯 2018]Fakebook
主要的工作应该是建立会话,然后判断是否是有效的请求,如果不是则返回404,如果不是则返回url的内容,一个getBlogContents方法,返回一个url的内容。
2023-11-22 23:23:01
389
原创 SQL注入1
2.还需要程序对提交数据获取方式是直接request("xxx")的方式,未指明使用request对象的具体方法进行获取,也就是说用request这个方法的时候获取的参数可以是是在URL后面的参数,也可以是cookie里面的参数,之后的原理就像我们的sql注入一样了。攻击者第一次输入的时候,后端代码对攻击者输入的参数进行了转义,但是在传入到数据库的时候的时候,没有进行转义,当攻击者再次读取到数据的时候,没有对数据库的字符进行转义,因此导致形成闭合。号可以执行输入的语句,因此造成堆叠注入。
2023-11-18 22:30:44
274
1
原创 SQL题
区别就在于 union或者 union all 执行的语句类型是有限的,可以用来执行查询语句,例如查库,表之类的,而堆叠注入可以执行的是任意的语句,将多条语句进行执行,;没有回显,应该是flag也是被过滤了,想了一下,其实在查询的数据库的时候就应该要发现是堆叠注入,自己对堆叠注入还是不了解,刚刚没有看出来。第一个单引号和第二个单引号形成了新的闭合,剩余第三个单引号,组成的sql语句不正确,于是语句报错,页面就会出现错误。当我们输入非零数字的时候,页面上有回显,用0也是什么都没有,字母也是什么都没有。
2023-11-16 21:38:30
334
原创 SQL-LABS
if(a,sleep(10),1)如果a结果是真的,那么执行sleep(10)页面延迟10秒,如果a的结果是假,执行1,页面不延迟。可以发现页面就发生变化了,是账户登录页面。我们尝试一下1=1和1=2发现他们的页面都是一样的,这里要注意的是不代表这里不存在注入,上面我们提到时间盲注,这也就是和上面的区别。id=1' and (ascii(substr(database(),1,1)))=115# 返回正常,第一位是s。第一个1代表的是位置,第二个1代表的是个数,也就是说第一个的第一位。
2023-11-14 21:56:31
273
原创 UPLAOD-LABS2
00截断利用的是php的漏洞,php的基础是C语言实现的,在C语言中认为%00是结束的符号,所以就基础了c的特性,在PHP<5.3.4的版本中,在进行存储文件时碰见了move_uploaded_file这个函数的时候,这个函数读取到hex值为00的字符,认为读取结束,就终止了后面的操作,出现00截断。并且这个函数,可以在他进行重新创建图片的时候,会将我们图片的信息和非图片的信息进行分离,也就是说如果我们在一张图片中加入了代码,那么他会 在你上传后把这张图片在新建的时候把其中的代码筛选出来,并且去除。
2023-11-11 23:14:58
341
原创 UPLOAD-LABS1
知道这一关是MIME验证,就是会检查求情包, 只对文件类型(type)进行了验证,必须要是image/jpeg或者image/png或者image/gif的格式,没有对后缀进行验证,只需要使用bp抓包将Content-Type:的参数修改成image/jpeg或者image/png或者image/gif其中的一种,进行绕过就好。禁止上传.asp|.aspx|.php|.jsp后缀文件,过滤不严格,用.phtml .php5 .pht进行绕过。
2023-11-09 22:23:04
354
原创 0X03
临时文件夹可通过php.ini的upload_tmp_dir 指定,默认是/tmp目录。source /home/user/bash 等同于 . /home/user/bash。php上传文件后会将文件存储在临时文件夹,然后用move_uploaded_file()可以看到flag实际上是在:/real_flag_is_here,所以读这个文件。拓展名只能读取一个,且不能为php,文件的大小要小于24字节,不能有php。刚开始的时候没有觉得什么奇怪的,后来想会不会是后面的文件路径。
2023-11-07 22:47:18
274
原创 0X02
逆过来,我们需要将' or 1=1按照加密规则加密,得到的就是我们最后要的东西,只要md5加密后的16进制转化为二进制时有 'or’xxxx。是针对每个网站的信息,每个网站只能对应一个,其他网站无法访问,这个文件保存在客户端,每次您拨打相应网站,浏览器都会查找该网站的 cookies,如果有,则会将该文件发送出去。发现删除所有的session,在上面的细心观察之后,发现,我们打开环境的时候,就发现密码框里面是有东西的,也就是显示出来的条目全部删除,然后以空密码登录即可得到flag。
2023-11-05 12:22:26
314
原创 0X01
Referer 是 HTTP 请求header 的一部分,当浏览器(或者模拟浏览器行为)向web 服务器发送请求的时候,头信息里有包含 Referer。该脚本包含了一个PHP函数 highlight_file(__FILE__),该函数可以高亮正在执行的PHP代码。比如,直接在浏览器的地址栏中输入一个资源的URL地址,那么这种请求是不会包含。然后,该脚本设置了 error_reporting(0),以关闭错误报告。标志存储在名为 "flag.php" 的文件中,该文件可能由此脚本包含。
2023-10-29 17:37:39
204
原创 秋季期中考复现xj
右键追踪TCP流发现是ViewMore.php写入的d00r.php,也就是说。再经过base64解码就可以发现它是一个以PK开头的,是zip文件的文件头。然后在检索d00r.php时发现了一个名为ViewMore.php的文件。先从http入手,就会发现d00r.php文件,但是提交之后发现不是。看到了cat /passwd的命令,然后看他的返回包找到了密码。开始的前三题是流量分析的,我们就用wireshark打开看看。在最后一个d00r.php中的数据流发现了两个ip地址。服务器自带的后门文件是什么?
2023-10-22 16:49:43
606
原创 0X00
MISC(stega2)提示是一张flag.png文件,想想修改宽高,原00 00 01 A0改为00 00 03 A0stega3打开还是一张图片,winhex看一下也是不怎么有想法,看看其他的师傅,
2023-10-14 23:20:38
37
原创 ZTJL4
下载下来并没有什么发现,应该爆破压缩包,用AAPR不行,ziperello也不可以查了之后才是需要修复文件,用zipcenop修复了之后就可以了。密码也就不用了。前提是我们需要把压缩包和jar文件放在同一个目录下,cmd命令进入到当前目录下就可以了这个工具也就是修复zip伪加密文件,修复成功之后就不需要密码了。然后java -jar ZipCenOp.jar r lm.zip(lm.zip为需要处理的文件)出现下面这个页面就说明文件修复成功了。
2023-10-08 22:56:58
41
原创 ZTJL3
tables是从information_schema库的tables表中获取,后面的where table_schema='web2'是table表中获取web2的表的内容。也就是做了一定的限制,就只获取web2库中的表名。flag 和user。,v2必须是数字,并且对v1和v2的md5弱相等,也就是==,只比较字符串开头是否相等,那么就需要找到两个md5开头相等的即可。这题和web2差不多,只是过滤了空格,在每条查询语句加上/**/绕过空格就可以了。先绕过空格,/**/代替空格,可以,说明过滤了空格。
2023-10-06 16:08:22
41
原创 ZTJL1
查看PHP回到页面访问php,访问结果如下前面还比较好理解给出用户名和密码,但是后面就出现一个函数,我们应该要绕过它,接着往下看一下,它需要admin=admin,然后就passwd=wllm,如果可以满足这个条件,就可以拿到flag了,现在关键的问题就是我们要绕过函数。__wakeup()函数漏洞原理:当序列化字符串表示对象属性个数的值大于真实个数的属性时就会跳过__wakeup的执行程序调用反序列化方法时,会自动执行__weakup()函数payloads:4:"wllm";
2023-10-05 10:02:01
158
原创 ARP欺骗
ARP欺骗(英语:ARP spoofing),又称ARP毒化(ARP poisoning,网络上多译为ARP病毒)或ARP攻击,是针对以太网地址解析协议(ARP)的一种攻击技术,通过欺骗局域网内访问者PC的网关MAC地址,使访问者PC错以为攻击者更改后的MAC地址是网关的MAC,导致网络不通。也就是说我们在同局域网下,我们使用MAC地址进行传输的,此时我们就可以伪装路由器,让靶机的数据先从我们这里经过,达到欺骗的效果。假设有三个主机A、B、C在一个局域网内,其中B是网关,即连接局域网和互联网的设备。
2023-09-21 11:08:16
342
原创 2023蓝帽杯半决取证
2023年初,某地公安机关抓获一个网络诈骗技术嫌疑人,公安机关在扣押嫌疑人后,对嫌疑人手机进行数据提取,在提取完成分析发现嫌疑人将通话记录及短信记录进行了删除,根据嫌疑人交代,其在删除通话及短信记录前使用过同伙编写的测试软件,该安卓程序会读取通话及短信记录并存放到手机中。由于通话和短信记录对案件很重要,请参赛队员分析手机镜像及对应apk,完成取证题目。案情是做取证很关键的,这次是后面才注意到的,开始比赛没有仔细看。
2023-09-19 22:36:57
111
原创 蓝帽杯初赛
取证我们先看案情介绍2021年5月,公安机关侦破了一起投资理财诈骗类案件,受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友,在其诱导下通过一款名为维斯塔斯的APP,进行投资理财,被诈骗6万余万元。接警后,经过公安机关的分析,锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑,经过多次摸排后,公安机关在杨某住所将其抓获,并扣押了杨某手机1部、电脑1台,据杨某交代,其网站服务器为租用的云服务器。
2023-09-03 20:05:26
143
原创 流量,日志分析
日志日志文件是Windows系统中一个比较特殊的文件,它记录着Windows系统中所发生的一切,如各种系统服务的启动、运行、关闭等信息。Windows日志包括应用程序、安全、系统等几个部分,它的存放路径是“%systemroot%system32config”,应用程序日志、安全日志和系统日志对应的文件名为AppEvent.evt、SecEvent.evt和SysEvent.evt。这些文件受到“Event Log(事件记录)”服务的保护不能被删除,但可以被清空。分类web日志windows日志。
2023-08-08 23:34:42
219
原创 PHP代码审计续
利用ReflectionClass建立ctfshow类的反射类,new ReflectionClass($class)获得class的反射对象(包含了元数据信息)。这句话的意思是从下标为2的位置获取字符串,因为是从下标为2的位置取的字符串,所以要在前面加两个数字(随意)。我们修改提交以后发现是错的,对比上一题的最后一段,这一题就只有11位,所以少了一位,我们可以去一个一个的试,也可以爆破。和上一题一样,他们之间是用and连接,只需要保证我们之间有一个是满足条件的就为true,但是&&就要三个同时满足。
2023-08-05 17:16:03
58
原创 PHP代码审计
PHP 是一种创建动态交互性站点的强有力的。PHP 是免费的,并且使用非常广泛。同时,对于像微软 ASP 这样的竞争者来说,PHP 无疑是另一种高效率的选项。PHP 脚本以开始,以结束。每个代码行都必须以分号结束。分号是一种分隔符,用于把指令集区分开来。PHP弱类型当字符串与数字使用==进行比较时,会将字符串类型转换成数字型再进行比较(如果两边都是字符串,则双方都转换为数字型),只比较转换后的数值的大小(1)当字符串的开始部分不存在数值时会把该字符串转换成数值0(也就是不和法)
2023-08-03 15:31:53
59
原创 文件上传b
无验证我们就可以直接上传一句话木马或者是webshell脚本。前端验证 也叫客服端检测前端验证主要是用JavaScript函数,我们先看看这个函数含义:JavaScript(简称“JS”) 是一种具有函数优先的轻量级,解释型或即时编译型的编程语言。虽然它是作为开发Web页面的脚本语言而出名,但是它也被用到了很多非浏览器环中,JavaScript 基于原型编程、多范式的动态脚本语言,并且支持面向对象、命令式和声明式(如函数式编程)风格。
2023-07-26 22:34:07
39
原创 文件上传a
是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。文件上传漏洞是指 Web 服务器允许用户将文件上传至其文件系统,但这些文件可能并没有经过充分的验证,如文件名称、类型、内容或大小等。在某些情况下,上传文件的行为本身就足以造成损害,其他攻击对该文件后续 HTTP 的请求,通常是为了触发服务器执行该文件。用户想要执行上传的脚本,就需要先访问到此文件。说到上传我们不会很陌生,我们在微信,QQ上上传过自己喜欢的头像,这也是文件上传。
2023-06-14 20:33:05
1320
原创 国粹的复现
template = cv2.imread(f'C:\\Users\\86187\\Desktop\\cuted\\{images[i]}.png', 0) # 识别模板。template = cv2.imread(f'C:\\Users\\86187\\Desktop\\cuted\\{images[i]}.png', 0) # 识别模板。cv2.imwrite("C:\\Users\\86187\\Desktop\\y.jpg", img_rgb)#保存识别后的图片。
2023-06-11 19:08:19
73
原创 复现(一部分)
某安全部门发现某涉密工厂生产人员偷偷通过生产网络传输数据给不明人员,通过技术手段截获出一段通讯流量,但是其中的关键信息被进行了加密,请你根据流量包的内容,找出被加密的信息。上面那段有俩个算上最后一个等号中间部分刚好有44位,有点像base64,但是我们直接拿去解码,会发现没有什么结果,我们就尝试用一下cyberchef。我们就先用wireshark打开,根据文件上的modbus,可能是被过滤modbus,右击modbus流量包,选择追踪TCP流。此时我们就会发现%3D变成=,%2F变成/,%2B变成+
2023-06-07 20:54:53
131
原创 复现unzip
mkdir是make directory的缩写,Linux中 mkdir 命令用来创建指定的名称的目录。是一个文件上传的题目,我们先尝试了几种简单的上传,但是页面似乎没有什么变动。文件在另外一个位置建立一个同步的链接,这就有点像Windows下快捷方式。解压操作可以覆盖上一次解压文件就可以造成任意文件上传漏洞。软连接是linux中一个常用命令, 它的功能是为某一个。直到我们传了zip形式的页面才有变化。上传成功之后,命令执行或者蚁剑连接。师傅们解法是用软连接进行目录穿越。先压缩成为第一个压缩包。
2023-06-03 17:47:24
65
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人